网康 发表于:14年08月18日 12:49 [来稿] DOIT.com.cn
摘要
装甲兵工程学院校园网和家属区网络混在一起,造成了很多安全隐患。家属区的病毒、攻击、钓鱼等,严重影响了教学区任务的正常开展。通过在核心位置部署网康下一代防火墙和网康上网行为管理设备后,对家属区的网络使用进行了相应的限制和管理。不仅一举解决了家属区使用教学网络的问题,同时又保障了教学业务的运行。
背景需求分析
装甲兵工程学院座落于北京市风景秀丽的卢沟桥畔,是全国重点工科院校、“十一五”期间军队“2110工程”重点建设院校和全军首批教学优秀单位。学院前身是著名的“哈军工”装甲兵工程系,1961年在西安扩建为装甲兵工程学院,1969年迁址首都北京。是我军培养装甲机械化部队指挥军官和工程技术军官的最高学府。
装甲兵工程学院教学区和家属区公用一个内网。内网经常掉线,每到晚上5点以后更是如此。这种情况严重影响了学院正常的教学和师生的正常上网。家属区网络本身没有做任何安全防护措施,内部上网导致的主动或者被动DoS攻击事件,扫描和攻击外部IP。大量的数据包增加了各级交换机的压力,造成了网络性能的急剧下降,对网络通信造成严重影响,从而使教学区无法正常利用互联网办公。
网康工作人员调查学院网络后,发现家属区存在大量僵尸主机。这些僵尸主机不定时的向校内服务器发动DDoS攻击。这是导致网络缓慢和断网的最主要原因。同时校园网内个别主机感染ARP病毒,导致经常局部网络瘫痪、丢包率高,网络无法正常使用。同时家属区的用户使用迅雷/BT等P2P下载、流媒体、网络游戏等非工作应用抢占有限的带宽资源,导致学校正常的应用如视频会议、OA、教务教学管理等业务系统响应速度很慢,访问互联网或教育科研网速度很慢。这样缓慢的网速导致网络管理者无法通过网络探测设备了解具体的带宽使用情况、流量分布等,使网络进入一种准无管理状态。
网康一体化防护+全网管控解决方案
针对装甲兵工程学院的实际情况,网康工作人员制定两步走的安全解决方案。第一在核心位置部署网康下一代防火墙,用来解决网络中的僵尸主机和各种病毒,清除网络中导致混乱的因素。第二步在核心交换机上部署网康上网行为管理系统,用来规范家属区中的各种非法上网行为,杜绝新的威胁产生。所有区域统一实行实名制认证,教学区每人一帐号,家属区每家一帐号。部署拓扑如下图所示:
网康一体化防护+全网管控部署
开启防护,清剿网络威胁
在防火墙上开启对服务器域从外到内的IPS和AV防护,防范从外部发起的网络攻击、传病毒、传木马等行为;开启从内到外的IPS、AV防护和URL过滤,防范内部学生的攻击、染毒、僵尸主机或访问恶意网站等行为。同时针对学生这一特殊群体制订了有针对性的安全管理策略,非常方便地实现了基于学生、应用、服务和时间的一体化防护。
针对装甲兵工程学院家属区和教学区公用一个内网的,而家属区和教学区又完全拥有不同的访问需求。在防火墙上分别针对教学区、家属区做了不同的访问策略、DoS防护策略。同时针对内网访问外网、外网访问内网也制订了不同的访问策略和DoS防护策略。从而保证了家属区访问互联网的自由性,又保证了内外访问的安全性。
定制报表,威胁清楚分析
由于之前的服务器经常被植入木马,本次安全部署在防火墙上制订了对服务器有针对性的报表。下一代防火墙会定期查看“应用分析”模块,筛选IP为服务器的普通HTTP应用,查看连接数前几位的IP。如果连接数异常高,可以在“流量日志”中对相应IP进行过滤查看,找到这些IP访问的网页,判断这些IP是否有试探性攻击行为。管理员通过定期查看这样的报表即可清楚的指导服务器目前是否存在挂马的情况。
应用分析里的详细IP信息
同时在网康下一代防火墙上还定制了其它的分析报表,可以方便管理员主动的发现网络中存在风险的服务器和僵尸主机,可以主动发现网站是否被挂黑链或挂马。
行为管控,上网清静稳定
在网康上网行为管理设备上,针对家属区访问内容较随意,使用的软件较丰富的现实状况,对访问的网址进行了审计和过滤。保证访问内容的合法合规,过滤不良信息,保证内部上网信息净化。部署上,管理员只需要在上网行为管理创建策略的时候,在内置的网址分类上进行选择即可。后续互联网的各类网址更迭都会由设备自行去处理,保证实时更新,保证过滤和审计的准确性。
针对家属区经常使用基于P2P技术的应用来看电影、玩游戏,占用了大量的带宽。在网康上网行为管理上开启了基于应用识别的带宽管理功能。在办公时间限制所有娱乐应用的带宽占用。在休息时间,开放带宽限制,但同时也会保证IM类、网页娱乐类软件的基本需求带宽。
网康内管外防 全面提升整网质量
在出口和核心分别部署了网康下一代防火墙和网康上网行为管理设备后。普遍反映最明显的就是网速比以前快多了。可见装甲兵工程学院原来的带宽是足够的,只是网络中太多的病毒和木马导致网络运行很慢。
经过部署网康安全产品以后,学院管理人员根据下一代防火墙给出的报告,对所有中毒主机进行了逐一排查、修复。家属区普遍反映无论是下载、玩游戏还是看电影,都比以前稳定多了。以前是有的时候很快,但大多数时候都是很慢。现在是速度很稳定,虽然不是很快,但是稳定可以让你知道视频缓冲多久可以看,游戏也不会突然掉线。而教学区普遍反映教学系统在正常使用的时候不会再出现连接失败的情况。
网络中心管理人员反馈,可通过网康高可视化界面,在设备首页实时看到当前网络的威胁和告警信息。同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。通过一段时间的上线使用发现,网络上的各种流量都清晰的体现在各种报表上。所有的应用和流量都按照既定的通道和路径在传递。网康安全产品接管后的网络,不在让装甲兵学院腹背受敌。